信息安全管理體系規(guī)范及使用指南

-----zj.-zj.信息安全治理體系規(guī)X及使用指南BS7799-2：2023中安質(zhì)環(huán)認(rèn)證中心質(zhì)量總監(jiān)周韻笙〔譯〕附錄B〔信息性〕本標(biāo)準(zhǔn)的使用指南總論PDCA模式ISMSB.1.2籌劃和實施ISMSX圍已正確建立，信息安全風(fēng)險已經(jīng)評的解決方案。檢查和處置要進(jìn)展每年或其它周期性的評審或?qū)徍?，以確保整個治理體系正在實現(xiàn)其目標(biāo)。把握總結(jié)把握總結(jié)SOC對待。CA的替代〔。A對于認(rèn)證來說是強(qiáng)制性要求?；I劃〔Plan〕階段引言ISMSX全部階段都要形成文件以便于可追溯性及對變更的治理。信息安全方針4.2.1b〕要求組織及其治理層規(guī)定信息安全方針，它包括設(shè)定其目標(biāo)和指標(biāo)的框架并建立一個有關(guān)信息安全的行動的方向和原則的總概念。這種方針的內(nèi)容參見BSISO/IEC17799：2023。ISMSX圍ISMSISMS內(nèi)時這一點更特別有關(guān)系。X圍可以按某些方法劃分，以便使隨后的風(fēng)險治理任務(wù)更為簡潔。ISMSX圍的文件應(yīng)掩蓋：圍及內(nèi)容的過程；戰(zhàn)略的和組織的內(nèi)容；信息風(fēng)險治理的組織方法；信息安全風(fēng)險評價準(zhǔn)則及所需保證的程度；圍信息財產(chǎn)的識別?！持?。在這種狀況下，只有ISMSISMSX圍之中。風(fēng)險識別及評定圍和風(fēng)險，以及應(yīng)如何正確使用他們以取得有效的結(jié)果。以下風(fēng)險評定的細(xì)節(jié)應(yīng)形成文件：內(nèi)財產(chǎn)的評價，包括財產(chǎn)不以貨幣計時所使用的評價尺度的信息；對威逼及脆弱性的識別；對威逼所引起的脆弱性的評定以及由這類事故所造成的影響；依據(jù)評定結(jié)果的風(fēng)險計算以及剩余風(fēng)險的識別。風(fēng)險處理打算組織應(yīng)編制一份具體的打算表或風(fēng)險處理打算，對每個已識別的風(fēng)險說明以下內(nèi)容。選定的處理風(fēng)險的方法；有何種把握；建議承受什么附加把握；實施所建議的把握的時間框架。其適宜者：打算承受風(fēng)險，例如其它措施不行能或太昂貴；轉(zhuǎn)移風(fēng)險；把風(fēng)險降低到可承受水平。信息所需的把握。有時不行能在可承受的費用內(nèi)把風(fēng)險降低到可承受水平。這時應(yīng)打算是增加更多與一次事故的潛在費用相比較。AISMS認(rèn)證對實施這些把握供給了附加的有關(guān)信息。把握。為了阻擋，查探、限制、預(yù)防安全擾亂〔按ISMS〕并從擾亂中恢復(fù)而設(shè)計的把握循環(huán)中是格外重要的，它與那些治理供給防止、阻擋、限定及恢復(fù)的把握一起應(yīng)及早到位而使之有效。打算應(yīng)包括一個日程表及優(yōu)先次序，一份具體的工作打算及實施把握的職責(zé)。實施〔Do〕階段引言PDCA循環(huán)中的實施〔Do〕活動是為了依據(jù)在籌劃〔Plan〕階段已作出的打算實施所選定的把握并促進(jìn)為治理信息安全風(fēng)險所必需的行動而設(shè)計的。資源、培訓(xùn)和意識ISMS及全部安全把握安排適宜而充分的資源〔人員、時間及金錢。這包括已實ISMS的成功進(jìn)展監(jiān)視以確保其持續(xù)的有效性和主題〔明確〕性〔y。必要時應(yīng)施加特定的安全培訓(xùn)以支持意識大綱，并能使全部相關(guān)方完成要求他們完成的安全任務(wù)。風(fēng)險處理對于那些已評定為可承受的風(fēng)險，不需承受進(jìn)一步的措施。們進(jìn)展有效的治理。高于可承受水平的風(fēng)險時，應(yīng)得到治理層的解除打算〔Sign-off〕識別不期望有的影響或破壞并適當(dāng)加以治理。檢查〔Check〕階段引言ISMS風(fēng)險評定的假設(shè)或X圍的任何轉(zhuǎn)變也應(yīng)予以考慮。假設(shè)覺察把握不適當(dāng)或不充分，就應(yīng)打算必需的訂正措施。這些措施的實行是PDCA循環(huán)中處置〔Act〕階段的事情，重要的一點是要了解；訂正措施只有在以下狀況下才是必要的。文件的內(nèi)部全都性；如不作轉(zhuǎn)變，其后果將導(dǎo)致組織面臨一個不行承受的風(fēng)險。的轉(zhuǎn)變而對進(jìn)一步的風(fēng)險評審及其處理的過程的表達(dá)。ISMS的將來變化并確保其將來的持續(xù)有效性。ISMS滿足組織形成文件的安全方針及目標(biāo)的有效性，它還可用作覺察低效和無效的過程和程序的來源。PDCA循環(huán)的特性，如下例：例1安全是否已被子滲透。例2附加把握時可能大暴露。中介紹。路由檢查包括：銀行帳(reconciliation),以及解決顧客埋怨.對明顯這種類型的檢查常常需要設(shè)計在將實行的系統(tǒng)中以限制任何遇到的錯誤所造成的破壞(及責(zé)任后果).在現(xiàn)代系統(tǒng)中,這類檢查可能擴(kuò)大到包括:對把握軟件運作的參婁有無非預(yù)期和非授權(quán)的轉(zhuǎn)變的檢查,對顯示于網(wǎng)址上的數(shù)據(jù)有無非預(yù)期和非授權(quán)的轉(zhuǎn)變的檢查。確認(rèn)在把握空間〔cyberspace〕中“虛擬”公司各方之間數(shù)據(jù)轉(zhuǎn)移的全面性和正確性。自我警察〔監(jiān)視〕程序自我警察程序是一種把握，它是為使在實行中所犯的錯誤或故障能準(zhǔn)時覺察而構(gòu)成〔例如監(jiān)視其故障或錯誤〕并發(fā)出警報，向問時間期限內(nèi)訂正，則附加的警報會告知更高的治理，這樣使問題自動升級。向他人學(xué)習(xí)來源，組織應(yīng)頻繁地涉及這些問題并對他們的軟件作必要的修改?！舶〞h、專業(yè)社團(tuán)及用戶群〕中交換和講座在技術(shù)和ISMS審核其持續(xù)時間不應(yīng)超過一年ISMS的各個方面是否都按預(yù)期的在運作。應(yīng)籌劃足夠次數(shù)的審核以使審核任務(wù)在選定的期限內(nèi)均勻分布。治理層應(yīng)確認(rèn)以下各點：信息安全方針仍是業(yè)務(wù)要求的精準(zhǔn)反映；正在使用一種適宜的風(fēng)險評定方法；程序文件正得到遵循〔X圍內(nèi)，并正在滿足它們企求的目標(biāo)；技術(shù)把握〔如防火墻、物理訪問把握〕是到位的，是正確構(gòu)劃的并按預(yù)期工作著；剩余風(fēng)險已經(jīng)正確評定，仍能為組織治理層所承受；上風(fēng)次審核及評審得出各方同意的措施已付諸實施；ISMS是符合本標(biāo)準(zhǔn)的。審核需要現(xiàn)行文件及記錄的樣本并對治理層及員工進(jìn)展訪談。治理評審ISMSISMS將來的變化并確保其持續(xù)的有效性。趨勢分析一局部。處置〔Act〕階段引言B.5.3中所解釋的訂正措施，處置也可馬上提前到籌劃〔Plan〕及定。后者的一例是：把現(xiàn)有的一項業(yè)務(wù)連續(xù)性打算付諸行動，由于檢查〔Check〕活動已作某些轉(zhuǎn)變，那么重要的一只是馬上向全部有關(guān)方供給關(guān)于轉(zhuǎn)變的建議并進(jìn)展所需要的附加培訓(xùn)。不合格ISO/IEC62款的應(yīng)用指南〕是：的一項或多項要求或在實施或保持這些要求時失誤；ISMS是否有力氣實現(xiàn)組織的信息安全方針及目標(biāo)?！睠heck〕階段的評審覺察了不合格區(qū)域后要進(jìn)展進(jìn)一步的調(diào)ISMS滿足規(guī)定要求的力氣的風(fēng)險相適應(yīng)。訂正措施及預(yù)防措施應(yīng)實行訂正〔可反響〕措施以消退不合格或其它不期望狀況的緣由以防止其再發(fā)生。應(yīng)實行預(yù)防〔或提前動作措施〕以消退潛在不符合或其它不期望的潛在狀況的緣由。完全消退孤立的不任命是不行能的。另一方面表現(xiàn)為某一大事事實上可能是一種弱點的先兆。這種弱點即使未加說明也會影響到整個組織。當(dāng)在識別和實施任何訂正措施時應(yīng)從這個觀以確保補(bǔ)救工作不僅涉及所考慮的問題，還能防止或削減類似大事再發(fā)生的可能性。各章所述之過程為實B.1所示：B.1OECDPDCA模式OECD原則 對應(yīng)的ISMS過程及PDCA階段意識 參與人員應(yīng)意識到對信息系統(tǒng)及安全性能做的事情。責(zé)任 全部參與人員都對信息系統(tǒng)及網(wǎng) 5.1〕絡(luò)的安全負(fù)責(zé)。反響 這是檢查〔Check〕監(jiān)視活動中的一局部〔見4.2.3及參與人員應(yīng)對安全事故以準(zhǔn)時的 6.1至6.4〕及一個瓜活動處置〔Act〕階段〔見4.2.4和合作的態(tài)度進(jìn)展預(yù)防查探和作及1至這還可飲食在籌劃〔n及檢〔k〕出反響。 階段的某些方面之中。風(fēng)險評定 些活動是籌劃〔n〕階段的一局部〔1，風(fēng)險評參與人員就進(jìn)展風(fēng)險評定 定是檢查〔Check〕階段的一局部〔見4.2.3及6.1至6.4〕安全設(shè)計及實施 一旦風(fēng)險評定完成，應(yīng)應(yīng)選擇對待風(fēng)險的把握作為籌劃參與人員應(yīng)把安全作為至關(guān)重要階段的一局部然后實階〔參見合在信息系統(tǒng)及網(wǎng)絡(luò)之及5.2〕掩蓋了這些把握的實施和操作性使用。中。安全治理 風(fēng)險治理是一個過程，它包括對事故的預(yù)防、查測和作參與人員應(yīng)對安全治理承受一種出反響，持續(xù)保持，評審及審核。全部這些方面飲食在綜合的方法。 籌劃〔n、實施〔o、檢查〔k〕及處置各個階段之中。再評定 信息安全的再評定是檢查〔Check〕階段的一局部〔見及網(wǎng)絡(luò)進(jìn)4.2.3及6.1至6.4〕應(yīng)定期進(jìn)展評審以檢查信息安全體行評審和再評定并對安全方針做系的有效性而安全的改進(jìn)是處置〔ACT〕階段的一局部法、措施及程序作適當(dāng)?shù)男拚?。〔?及1至3。附件C〔信息性〕BS7799-2：2023的對應(yīng)。C.1BSENISO9001：2023，BSENISO14001：1996BS7799-2：2023之間的對應(yīng)。間的對應(yīng)表。BS7799-2：2023BSENISO9001：2023BSENISO14001：19960 引言0 引言0 引言0.1 總則0.1 總則0.2 過程方法0.2 過程方法與其它治理體系的相容性0.3與其它治理體系的相容性1 X圍1 X圍1 X圍1.1 總則1.1 總則1.2 應(yīng)用1.2 應(yīng)用2 引用標(biāo)準(zhǔn)2 引用標(biāo)準(zhǔn)2 引用標(biāo)準(zhǔn)3 術(shù)語與定義3 術(shù)語與定義3 術(shù)語與定義4 ISMS要求QMS 要求EMS 要求4.1 總的要求4.1 總的要求4.1 總的要求4.2 ISMS4.2.1 ISMS4.2.2 ISMS4.4 實施和運作4.2.3 ISMS4.5.1監(jiān)視和測量4.2.4 ISMS4.5.2不符合及訂正與預(yù)防措施4.3 文件要求4.2 文件要求4.3.1 總則4.2.1 總則4.2.2 質(zhì)量手冊4.3.2 文件把握4.3.2 文件把握4.4.5 文件把握4.3.3 記錄把握4.2.4 記錄把握4.5.3 記錄5 治理職責(zé)5 治理職責(zé)5.1 治理承諾治理承諾5.2 以顧客為關(guān)注焦點5.3 質(zhì)量方針4.2 環(huán)境方針5.4 籌劃4.3 籌劃5.5 職責(zé)、權(quán)限與溝通5.2 資源治理6 資源治理5.2.1 資源供給6.1 資源供給6.2 人力資源5.2.2 培訓(xùn)意識和力氣6.2.2 力氣、意識和培訓(xùn)4.2.2 培訓(xùn)意識和力氣6.3 根底設(shè)施64 工作環(huán)境6 ISMS的治理評審5.6 治理評審4.6 治理評審6.1總則5.6.1 總則6.2評審輸入5.62 評審輸入-zj.-zj.- -6.3評審輸出5.6.3評審輸出6.4審核8.5.2內(nèi)部審核4.5.4ISMS審核7 ISMS改進(jìn)8 改進(jìn)7.1 持續(xù)改進(jìn)8.5.1 持續(xù)改進(jìn)7.2 訂正措施8.5.1訂正措施4.5.2不符合及訂正和預(yù)防措施A把握目標(biāo)及把握B標(biāo)準(zhǔn)使用指南AX使用指南附錄C不同治理體系之間對附錄A ISO14001與ISOB之應(yīng)表19901之間的聯(lián)系間的聯(lián)系附錄D〔信息性〕BS7799-2：2023之間條款編號的關(guān)系D1BS7799-2不同版本之間內(nèi)部編號的關(guān)系BS7799-2BS7799-2：19991X圍藝術(shù)與定義適用性聲明信息安全治理體系要求總則建立一個治理框架實施文件文件把握記錄BS7799-2：20230引言1X圍引用標(biāo)準(zhǔn)術(shù)語與定義信息安全治理體系3.1.2適用性聲明信息安全治理體系總的要求ISMSISMSISMSISMS文件要求總則文件把握5治理職責(zé)治理承諾資源治